Преимущество APP-ID в NGFW Palo Alto Networks. Вебинар №2.

Дата: 07.04.2020. Автор: Денис Батранков. Категории: Подкасты и видео по информационной безопасности

Запись для Академии Palo Alto Networks https://panacademia.ru
На вебинаре мы рассмотрели отличие L4 firewall от L7 firewall, разобрались как анализирует TCP сессию L7 firewall, как работает зависимость приложений и как писать правила когда в одном TCP потоке используется несколько разных приложений L7.

Статья по преимуществам использования приложений в правилах https://www.securitylab.ru/analytics/494677.php
Обзор приложений в компании https://blog.paloaltonetworks.com/app-usage-risk-report-visualization/
Обзор оптимизатора политик в межсетевом экране Palo Alto Networks https://safebdv.blogspot.com/2019/03/palo-alto-networks-ngfw.html
Презентация https://www.evernote.com/l/ALiu0QY5I_tMIpKAdcj9OzaDkBB2HooZcRE

Вопросы и предложения
[email protected]

Timeline
0:00 Как выглядит журнал L4 firewall
0:25 Как выглядит журнал L7 firewall для той же сессии TCP
1:58 Трафик приложения и само приложение в одном TCP соединении меняется — почему
3:27 Маркировка трафика TCP — то чем занимается NGFW для точного написания правил
3:41 Как работает анализ трафика приложения в L7 firewall — просмотр контента TCP пакета
4:16 Демонстрация интерфейса Session Browser в NGFW
4:57 Приложения L7 зависят от других приложений L7
3:38 1С зависит от SMB
5:51 Как узнать зависимость одного приложения от другого
6:10 Характеристики приложения
6:23 Что такое риск
6:39 База данных приложений Palo Alto Networks https://applipedia.paloaltonetworks.com/
7:05 База данных приложений внутри NGFW
7:22 odnoklassniki зависят от SSL и web-browsing
7:38 Secure ports — по каким портам ходит SSL версия приложения
8:11 Implicitly Uses — приложения которые будут разрешены автоматически
8:43 пример правил NGFW
9:09 что делать когда NGFW предупреждает о зависимости приложений
9:46 сколько приложений ходит по 80 и 443 и 53 порту
11:09 тысяча приложений по одному порту — создает проблему с управлением
11:33 как разрешить facebook и запретить dropbox на 443 порту
12:07 три варианта разрешить SSL — какой верный?
15:20 ответ какой вариант правильный
16:43 что произошло в сети?
16:55 приложения стали динамическими (skype, tor, bittorent, teamviewer)
17:42 приложения используют множество портов (ms-lync)
19:50 фича NGFW application-default упрощает написание, сокращает количество правил и повышает безопасность
20:00 пример добавления нескольких приложений в одно правило — используем application-default
21:10 техники обхода L4 firewall. application-default защищает от вредоносного контента внутри открытых портов
21:50 туннелирование поверх DNS
22:21 в чем отличие квалификаторов L4 и L7
23:50 квалификаторы NGFW — обзор интерфейса: теги, зона безопасности, DAG, страна, приложение, URL категория, имя пользователя
25:05 обзор HIP — пример проверки наличия защиты TRAPS на хосте сотрудника

Денис Батранков

Об авторе Денис Батранков

Советник по безопасности корпоративных сетей.
Читать все записи автора Денис Батранков

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *